Hacker cinesi compromettono ISP per avvelenare le risposte DNS

I ricercatori della società di cybersecurity Volexity hanno rivelato venerdì che un gruppo di hacker cinese ‘StormBamboo’ ha s uccessfully compromesso un fornitore di servizi internet (ISP) per abusare degli aggiornamenti software automatici con malware.

Questo gruppo di minaccia di cyber-spionaggio cinese, tracciato anche come Evasive Panda, Daggerfly e StormCloud, è attivo almeno dal 2012, prendendo di mira organizzazioni in tutta la Cina continentale, Hong Kong, Macao, Nigeria e diversi paesi del sud-est e dell’est asiatico (via BleepingComputer).

Durante un incidente investigato da Volexity, i ricercatori delle minacce hanno scoperto che StormBamboo ha preso di mira software che utilizzava meccanismi di aggiornamento insicuri, come HTTP, e non validava correttamente le firme digitali degli installatori per distribuire payload di malware sui computer delle vittime che eseguivano macOS e Windows.

“Quando queste applicazioni andavano a recuperare i loro aggiornamenti, invece di installare l’aggiornamento previsto, installavano malware, inclusi ma non limitati a MACMA e POCOSTICK (noto anche come MGBot),” ha spiegato Volexity in un rapporto pubblicato venerdì.

Per fare ciò, gli attaccanti hanno interrotto e modificato le richieste DNS delle vittime e le hanno reindirizzate a indirizzi IP malevoli.

Questa tecnica ha consegnato malware ai sistemi della vittima dai server di comando e controllo (C2) di StormBamboo, richiedendo quindi nessuna interazione da parte dell’utente.

Volexity ha trovato StormBamboo che prendeva di mira diversi fornitori di software, che utilizzano meccanismi di aggiornamento automatico, utilizzando livelli di complessità differenti nei loro passaggi per spingere il malware.

“Ad esempio, hanno approfittato delle richieste di 5KPlayer per aggiornare la dipendenza youtube-dl per spingere un installatore con backdoor ospitato sui loro server C2,” ha dichiarato il rapporto di BleepingComputer.

“Dopo aver compromesso i sistemi del bersaglio, gli attori della minaccia hanno installato un’estensione malevola di Google Chrome (ReloadText), che ha permesso loro di raccogliere e rubare cookie del browser e dati della posta.”

I ricercatori delle minacce hanno notificato e lavorato con l’ISP, che ha poi investigato sui dispositivi di routing del traffico importanti sulla loro rete. Una volta che l’ISP ha riavviato, ha messo offline componenti di rete specifici, il che ha immediatamente fermato l’avvelenamento DNS.

“StormBamboo è un attore di minaccia altamente qualificato e aggressivo che compromette terze parti (in questo caso, un ISP) per violare i bersagli previsti.

La varietà di malware impiegata in varie campagne da questo attore di minaccia indica un notevole sforzo investito, con payload attivamente supportati non solo per macOS e Windows, ma anche per apparecchiature di rete,” hanno concluso i ricercatori.